论算法中的个人信息保护规则体系
内容提要:算法中个人信息保护与非算法处理的个人信息保护方法不同,也与隐私权保护具有不同的规则体系。传统保护模式下的民事保护、经济法保护、刑事保护、信义义务保护可分别从一定角度来达到个人信息保护的效果,但是均无法构建系统完整的个人信息保护规则体系,也难以实现算法中个人信息保护与利用的平衡。《个人信息保护法》设定的有关个人信息保护的重要具体制度,也难以融入传统法律规则体系并实施。笔者认为,算法中个人信息保护规则难以形成体系的根本原因在于个人信息作为法律关系客体的模糊性与场景性。为弥补现有个人信息保护规则体系缺陷,可以通过提升算法平台规则的层级,将其上升为具有准法律效力的个人信息保护自治性规则,同时作为《个人信息保护法》的执行性规则;对于有争议的部分,则可通过诉讼中的规则审查方式来实现国家监管与权利救济。
关键词:算法 个人信息保护 规则体系 自治
一、问题的提出
本文所称算法中的个人信息保护规则体系,系指调整和规制个人信息处理者利用算法(或者人工智能)处理个人信息行为的法律规则系统。该研究主题排除了两个可能产生混淆的情况:一是算法作为个人信息处理主体的情况。尽管存在算法和人工智能的主体性问题的讨论,但在法律实践层面人类主体地位仍未被撼动。有学者提出,人工智能是研发者、制造者和使用者的法律行为。但人工智能行为在法律上的主体仍是人类,故本文着重讨论人类主体利用算法处理个人信息行为的规则体系。二是自然人因个人或者家庭事务处理个人信息的情况。《个人信息保护法》明确将这类行为排除在适用范围之外,在调整对象上限于“规范个人信息处理活动”。是故本文将《个人信息保护法》作为个人信息保护规则体系的评价对象。另外,本研究主题也将隐私权的法律规则排除在外。《民法典》第1034条将隐私权的法律保护与个人信息保护划定了界限,个人信息保护与隐私权保护分属不同的规则体系。
因此,从调整对象的确定性来看,算法中个人信息保护应当具有独立的法律规范体系。从现实来看,该规范体系已经基本形成:《个人信息保护法》作为基本规范,还有《互联网信息服务算法推荐管理规定》《生成式人工智能服务管理暂行办法》等专门规范,以及相关刑事法律规范等组成了算法中的个人信息保护法律规则体系。那么,现有的算法中个人信息保护法律规则体系是一种什么性质的法律体系,其是否像人身、财产保护等传统法律体系那样由民事规范、刑事规范组成并按照传统法律实施方法来适用?
显然,个人信息保护是一个涉及多法律部门的问题,与公民个人的人格尊严、财产安全、公共利益甚至国家安全密切相关。随着智能终端的普及与个人信息的商业化挖掘,个人信息中的个人价值与经济价值、经营价值及安全价值等冲突更为明显地呈现出来。在传统保护模式下,个人信息保护与隐私权保护如出一辙,保护的重点主要在于个人信息的存储安全状态;个人信息泄露所带来的风险由权利保护模式解决,通过侵权救济、追究刑事责任等方式惩罚未得授权的擅自使用行为。但是,笔者认为,算法处理重在挖掘个人信息潜在价值,算法处理信息所具有的规模性、逻辑性等特征使传统保护模式很难实现个人信息保护与利用的平衡,基于保护单个个人信息的传统保护模式可能会带来保护价值错位。算法中个人信息保护区别于非算法中的个人信息保护,后者注重信息存储安全,前者更关注个人信息的大规模、集群化处理中的安全,同时兼顾个人信息的利用价值。
一直以来,对于算法中的个人信息保护,国内很多学者是将其作为算法治理问题来研究的。算法治理随着网络技术的发展以及对个人信息权益保护的强调和研究不断扩张范围。有学者从私人的视角提出,算法治理的内容主要涉及与治理者个体利益相关的问题,具体包括算法歧视、个人信息保护等问题。甚至有学者提出,算法崛起对法律规制提出了挑战,它可能挑战人类的知情权、个体的隐私与自由以及平等保护。也有学者将算法治理作为回应个性化推荐算法引发的包括干扰用户自主决定等问题的因应之道。可以看出,个人信息保护一直是算法治理的重要内容。因此,无论是否承认算法的主体地位,个人信息保护规则体系都是与算法密切相关的一个问题。
现有个人信息保护规则分散在民事、刑事、经济法等领域,保护的模式和法益也不尽相同。民事的平等主体假设、刑事的法益保护、经济法对平台的规制以及消费者法的倾斜保护等不同的规则体系在个人信息保护中均有所体现。《个人信息保护法》的出台本应统合散见于各部门法中的个人信息保护规范,形成系统的个人信息处理活动规则体系。但是,由于个人信息本身的法律地位不明确,算法处理行为的法律规则多有争议,尤其是算法大规模处理个人信息、挖掘其潜在价值所具有的公共性,与个人信息保护的权益具体性之间形成了规则上的困境。比如,虽然有学者提出,《个人信息保护法》规定的知情权、决定权、查阅权、复制权、可携带权、补充权、更正权、删除权以及解释说明权等一系列权利属于个人信息权的不同权能,但个人信息作为一种权利集合及其各项权能如何实现尚未有定论。
以上种种困惑,都来源于算法中个人信息保护法律规范体系的定位不清晰、性质模糊。以《个人信息保护法》为代表的个人信息保护法律规则体系到底是一种什么性质的规则体系,应当如何进一步完善该法律体系的实施效果,以及如何在未来发展出更加合理的个人信息保护法律规则体系,显然是既有理论意义也有实践价值的重要问题。
二、传统法律规则体系对于算法中个人信息保护功能的分析
个人信息既有人身属性,也有财产属性,在一定程度上也是国家调控信息经济的重要手段。因此,从传统法律规则体系来讲,民法、经济法、行政法、刑法甚至是信托法意义上的信义规则,都能够对个人信息保护发挥一定的作用。也有学者认为,个人信息保护法具有社会法属性,其逻辑起点为个人信息具有私益与公益双重属性。事实上,我国个人信息保护规则体系包含了民法、经济法、行政法、刑法和信托法上的保护规则,然而,这些规则体系是否单独或者协同发挥了法律规则的应有作用,确实值得研究。
(一)个人信息保护的民法规则体系
个人信息保护的民法规范体系体现在《民法典》和《个人信息保护法》当中。尤其是《个人信息保护法》第69条设定了个人信息保护的侵权责任规则。虽然以侵权责任来保护个人信息仍然是当前最主流的观点,但是司法实践中个人信息侵权案件的数量少之又少。以民法规则来保护个人信息,看似天经地义,实际上存在着一些难以消除的逻辑障碍。
1.平等主体假设难以适用
民法保护平等主体之间的权利义务关系,意思自治是民法的核心。用户与平台具有传统民事主体的外观,自然人或者法人可以依自身意思表示进行相应民事行为并承担后果。但是,算法权力以处理海量数据的机器优势、基于复杂算法生态的架构优势以及对社会权力运行的嵌入优势为基础,形成了跨越性与隔离性的特征。算法本身的技术特性使普通用户很难直接介入其中。
民法有基于合同相对双方地位不平等而签订格式合同或者格式条款的限制行规定,但是格式条款主要是针对不合理的侵害提供格式条款相对方的人身财产权利或者限制其权利的情形。前提依然是合同双方对于格式条款的限制内容是可以理解的,以及可以通过排除格式条款规则来修正不平等交易关系。而算法中的个人信息保护要适用格式条款需要理解算法的黑箱性,用户很难知晓算法处理自己的个人信息究竟使用何种程序以及会产生何种效果。即便算法平台充分依照《个人信息保护法》第17条的要求,在处理个人信息前以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关事项,冗长的隐私政策条款也很难真正实现告知功能。技术带来的知情断裂使基于意思表示的民事法律规则很难充分发挥其应有的作用,用户和平台之间的不平等状态也无法在民法中得以妥善处理。
2.个人信息权益状态难以被知晓
有学者将个人信息权益分为基础性权能和工具性权能。其中,基础性权能包括知情权和决定权,工具性权能包括查阅权、复制权、可携带权、补充权、更正权、删除权、解释说明权。当个人信息权益被侵害时,个人有权行使停止侵害、排除妨碍等人格权请求权,并有权向法院起诉来保护自己的个人信息权益。《个人信息保护法》对以上权能确有相应规定,但是算法具有的专业性和黑箱性,使个人信息来源主体并不能清晰知晓算法处理过程。算法对于平台内的用户具有普适性,算法部署针对不特定的多数用户,而非单独针对某一用户限制其个人信息权益实现。若存在个人信息侵权行为,并以人格权侵权来请求司法保护,显然存在证据上的困难,因为在算法场景中,信息主体无从知晓自己的信息状态。即使法院作出保护个人信息的裁决,也需要算法平台在技术层面予以配合,停止侵害并排除妨碍。同时,基础性权能以及工具性权能中的删除权和解释说明权的实现也需要技术上的辅助,才能确认算法平台所履行告知义务的情况是否属实,用户决定自己个人信息到底用于何处的目标能否实现,以及删除和解释的目的能否达到。总之,用户难以了解信息状态,当然也就难以通过民事诉讼来保护个人信息权益。
3.侵权数额难以确定
有学者提出,个人信息的知情权、决定权、查阅权、复制权、更正权、删除权等,均为个人信息权的权能,由此出发,便可以构建一套完整的个人信息权利体系,并兼具积极权能和消极权能。从个人信息权体系化的视角可以更好地解释个人信息各项权利的关系及定位,不过统合之后的个人信息权益也难以归于民法意义上的权利。消极权能主要体现为个人信息侵权责任和补救通知责任。虽然《个人信息保护法》第69条对侵权数额计算标准作了规定,但是算法处理个人信息所具有的规模化特征,使所受损失与所获利益难以具体到个人,是否需要平均分担、是否需要考量不同信息的权重及其效益也难以确定具体标准。同时,信息自决权具有较大的主观性,侵害人格尊严的标准也难以划定;兜底条款中的“根据实际情况”更是一种不确定的表述。有学者提出,不应赋予自然人主体享有的包括个人信息保护在内的数据来源者权利以财产权。算法中个人信息的价值难以确定带来的侵权数额认定困境,导致《个人信息保护法》虽然规定了侵权损害赔偿责任,但是难以在实践中适用。
(二)个人信息保护的经济法规则体系
1.划入经济法的现状考量及其局限
在全国人大网上公布的《现行有效法律目录》中,《个人信息保护法》被划入经济法项下。在信息社会,数据和信息是一体两面的关系,数据是信息的代码化表达。在《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》中对数据要素在经济中的作用进行定位,指出要“激活数据要素潜能,做强做优做大数字经济,增强经济发展新动能”。数据在数字经济中发挥了重要作用,数据基础制度的完善对于经济发展有着较强的促进作用。有学者指出,各类信息立法普遍涉及经济规制和市场监管的内容,并由此具有规制法、监管法的特点,更符合经济法的经济性和规制性特征。故在既有的部门法体系中,将个人信息保护法归入经济法部门无疑是有其合理性的。
但是,规制算法平台以实现个人信息保护与实现经济秩序维护之间有所区别。以保护个人信息为目的规制算法平台其实是对算法平台施加适当限制,促进平台经济发展需要在保护个人信息的前提下进行。个人信息权益的界定在此发挥重要作用,其保护边界决定了在多大程度上限制平台。有学者提出数据来源者权利的准则包括优先尊重个人利益、尊重在先权利、尊重当事人的约定,以及促进数据的高效生产与有效利用。这种保护顺位与经济法保护的侧重和规制目的具有一致性。但是问题在于个人信息权益到底边界在哪,甚至个人信息边界模糊不清。有学者提出,个人信息兼具个体属性与社会流通属性,应当确立一种“个人信息相关权益被保护权”。但是,场景化保护同样无法处理边界问题,究竟在何种颗粒度上进行场景定性以及场景定性中如何考量保护因素都仍是未知。消费者场景下的个人信息保护会对这个问题有进一步推进,但是也无法形成普适性的规则。同时,在个人信息相关权利属性及边界未达到共识时,经济法中经济秩序的界分也难以厘清。
平台和消费者之间并非简单的竞争或者零和博弈关系,而是在一定程度上具有合理利用个人信息以创造更大效益的共同目标。用户将个人信息授权给平台使用之后,平台可以完善交互界面和服务内容,给予用户更好的服务体验。同时,平台基于大规模个人信息的收集,挖掘潜在价值以实现更大社会效益。《个人信息保护法》不仅要保护个人信息,而且要促进信息的合理利用。对于消费者个人信息的功能发挥而言,仅靠经济法的规制难以达到个人信息潜在价值挖掘的目的。
2.消费者权益倾斜保护及其局限
虽然在《现行有效法律目录》中将《消费者权益保护法》列入民法商法部门,但是《消费者权益保护法》所具有的倾斜性保护特征和维护社会经济秩序的目的,使其归入经济法部门,本文以经济法视角对该问题进行讨论。其实,即便是归入民商事法律部门,也是着重讨论用户和算法平台之间不平等的法律关系。
《消费者权益保护法》第14条强调消费者个人信息依法受到保护,第29条规定了经营者收集使用个人信息时的合法、正当、必要原则和公开、保密义务。消费者领域的个人信息保护着重于对平台的规制,以对平台附加额外义务来实现保护消费者权益的目的。在此领域的个人信息处理依赖于消费行为,亦即消费者购买产品和服务的行为,来进行具体判断。即便加上互联网的因素,扩展到电商平台,也都是消费行为中的个人信息保护,如《电子商务法》第5条原则性规定,第23条收集使用规则,第25条、第87条保密义务,第23条平台服务协议和交易规则,第79条安全保障义务。在《消费者权益保护法》和《电子商务法》中的个人信息保护倾向于传统个人信息的数字化表达,将个人依平台提示填写的个人信息以及消费信息的数字化记录进行法律保护。此时并不强调算法的大规模处理,仅强调个人信息对于用户个人的重要意义,由作为信息存储方的平台履行保护义务。
这种倾斜保护是基于传统经营者与消费者不平等地位,对数字化记录的个人信息保护进行了自然延伸。也有学者提出,通过“消费者法化”,重新激发个人信息私法保护的活力;同时,采取公法框架进行风险规制,保护个人信息。其实就是基于《个人信息保护法》所具有的公法性质,对强势的算法平台施加额外保护义务。但当涉及算法时,更需要关注的是“大数据杀熟”等手段对算法平台强势地位的巩固和强化。此时,权益保护重点就从数字化个人信息保护转移到了使用个人消费记录等个人信息带来的权益侵害。因此,适用传统消费者权益保护规则来处理算法中的个人信息权益,在一定程度上难以避免个人信息权益与消费者权益的错位问题。
(三)个人信息保护的刑法保护规则体系
1.个人信息保护的“刑先民后”状况
个人信息保护的刑事规则最早见于2009年2月施行的《刑法修正案(七)》,而民事规则最早则出现在2017年7月施行的《民法总则》。事实上,我国对公民个人信息保护的法律体系,遵循了一条“刑先民后”的保护路径。从立法先后状况来看,确实如此。现行刑事规范主要规定在《刑法》第253条的侵犯公民个人信息犯罪以及最高人民法院、最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息刑事案件解释》)中。这些刑法规则虽然可以及时打击个人信息犯罪,但是民事规则的滞后显然把刑事打击谦抑性原则的缺位给暴露了出来。《个人信息刑事案件解释》是在《民法总则》通过之后再依据《民法总则》规定的个人信息权益对《刑法》第253条进行了解释。算法中个人信息保护从赋予主体权利的隐私权保护模式到制约算法权力的保护机制也需要刑法作出回应。有学者提出,应当遵循法秩序统一原理,对侵犯公民个人信息罪进行规制调适,恢复民法、行政法、刑法的应然规范位置。
2.刑事规范对民事规范的限制
有学者提出,侵犯公民个人信息罪属于个人法益犯罪,法益本体是个人信息权,它是《民法总则》第111条(现《民法典》第111条)规定的具体人格权,通过赋予其超个人属性的方式实现入罪扩张解释,与法益论发展趋势相背。对个人信息权作为法益本体的厘清是对个人信息保护模式转变的刑法应对前提。刑事与民事模式转变的首要问题就是厘清个人信息权的具体内容以及保护边界。如果将《个人信息保护法》作为民事规范,则应回答个人信息权利的内容与边界。但是,《个人信息保护法》也无法解决个人信息的复杂法律地位,只能通过施加平台义务的方式来描述个人信息权益,个人信息作为法律权利客体的根本问题仍未解决。“民先刑后”“民紧刑松”的保护格局需要民法对于个人信息权有统一界定,同时与传统隐私权侵权有所区分。个人信息权在司法领域的类型化扩张仍是基于传统隐私权保护模式,在解决算法处理个人信息问题时存在范围扩大和刑罚加重的倾向。在大规模处理的情形下,法律规定入罪情形和加重情形的数量标准过于容易达到。
最高人民检察院发布的报告显示,2021年、2022年侵犯公民个人信息犯罪起诉人数分别为9800人和9300人,远远多于民事侵权案件的数量。这与《个人信息保护法》出台后在社会层面引发的对个人信息权利保护意识和保护力度增加有较大联系,其应当在算法处理活动中对侵犯个人信息权益的案件具有一定的分流作用。刑事案件不减反增,可能的原因在于刑事案件已经对侵犯个人信息案件有定性,形成的路径依赖很难再向民事侵权转化。即便在民事规则跟进之后出台刑事司法解释,也会影响个人信息侵权案件的定性及救济。民事规则目的在于建立个人信息领域稳定秩序,维系个人信息存储和处理的正常秩序。笔者认为,当前这种刑事在先规范对民事规范的限制局面,应当尽快扭转,以体现正常的民法与刑法的社会关系调节功能。
(四)个人信息保护的信义规则体系
1.信义规则适用的合理性
在传统权利保护模式对于个人信息保护力不从心的形势下,信义规则模式开始受到关注。算法中个人信息保护需要结合具体场景,而大陆法系国家成文立法的确定性和稳定性在应对多样化情景时,要么以精细化立法寻求更大范围覆盖,要么交由法官自由裁量,但交由法官自由裁量会带来法律判决不统一等情况。信义义务可以从动态的视角应对个人信息保护的场景化问题,赋予网络企业道德和法律的责任,以适应平台组织的功能、目的和创新性处于不断变化之中的状态,同时赋予行政与司法部门对网络企业履行保护个人信息义务的较大的自由裁量权。网络平台的信义义务与《公司法》第147条对公司管理层要求的忠实、勤勉义务不同,它强调的是平台对于个人信息来源主体的信义责任。有学者提出,个人信息的私法保护应当从合同法转向信义法的法律框架,要求企业对个人信息承担信息信义的法律责任,履行对于个人用户与集体用户的谨慎义务特别是忠诚义务。信义责任可以很好地适应个人信息场景性和科技发展带来的开放性,允许平台以更为灵活开放的方式实现个人信息保护及价值实现的目标。
2.信义规则保护中的监督难题
信义义务在一定程度上可以解决算法中个人信息保护下使用与保护的平衡问题。但是,对平台的道德要求难以承担实现个人信息保护的任务,且信义义务标准也难以确定。政府、社会、平台在这个信义规则体系中如何定位,算法中个人信息保护在其中发挥何种作用也需要进一步厘清。平台自治需要有约束自身的规则,并在一定时期形成稳定的个人信息处理预期。政府允许平台在正常商业过程中形成合法的平台规则,但需要对不合法或者滥用用户信任的规则进行限制,并赋予用户救济手段。用户的权利诉求如何实现需要在和平台交互的过程中确定。动态的信义规则体系需要完善监督机制,政府与用户在维系信义规则时发挥何种作用难以确定。政府的监督有赖于用户的权利诉求。但是,算法“黑箱”带来的信息断层使用户难以及时发现诉求。有赖于平台道德责任的信义规则难以在无法形成有效监督的情形下合理维系。
综上可以看出,传统保护模式下的民事保护、经济法保护、刑事保护、信义义务保护可以分别从一定角度来达到个人信息保护的效果,但均无法构建系统完整的个人信息保护规则体系,也难以实现算法中个人信息保护与利用的平衡。
三、个人信息保护具体制度的规则体系属性分析
《个人信息保护法》是个人信息保护规则的主要来源,其规定了个人信息保护的具体制度。实际上,这些具体制度在实施当中也产生了较大的争议,集中体现在这些制度的法律属性上,乃至在《个人信息保护法》出台之后,引发了关于个人信息保护是以公法为主还是以私法为主的争议。从根源看,出现这种现象的原因在于个人信息保护具体制度的规则体系属性不清晰。
(一)告知同意制度
1.民事格式条款规则与多元利益
告知同意制度在算法个人信息保护中具有起始性关键作用,对其充分理解有助于厘清个人信息在我国法律体系中的定位。算法平台基于用户同意才能处理其个人信息,告知同意是处理行为的合法性基础。由于个人信息保护与隐私权的密切联系,告知同意制度也往往被作为民事行为,以格式合同条款表现出来。在《个人信息保护法》出台之前,利用合同解释原理,适用格式条款的有关规定确实有利于保护消费者个人信息权利。在《个人信息保护法》出台之后,对算法平台施加义务也可以实现用户权益的倾斜保护。但是,个人信息保护不仅是算法平台与用户之间的关系,还涉及经济秩序维护和个人信息价值挖掘等公共价值。多元主体和多元利益使格式条款原则性推定不利于数字经济的发展,单纯保护弱势方的解释也难以平衡多元利益。
2.告知同意的公法实现
从个人处分权利的角度看,告知同意具有民法上意思表示的性质,从而产生民事效力。从数据利用的层面,海量的个人信息构成的大数据当然具有很大的价值,但是,一个个自然人的个人信息本身无法进行商业化的许可利用。因此,对于算法处理个人信息而言,将告知同意设置成为民事法律行为恐难以得到现实的回应。事实也确实如此:大数据时代,模糊的个人信息内涵导致知情同意机制流于形式,僵化严苛的知情同意原则难以适应维护公共利益和发展数字经济的需要。有学者提出,个人信息保护中的告知同意应呈现开放结构,包含复次的告知同意阶段,呈现多元的主体交互关系,强调行为授权的程序价值,为公法介入告知同意提供基础。算法中个人信息保护需要公权力的介入,以平衡多元利益主体,形成稳定的算法治理格局。但是,公权力要如何介入以及介入限度为何难以把控:一方面,需要充分尊重个人信息自决权,而自决权利也需要通过平台代码表现来实现,这对于个人而言显然需要平台的配合才能完成;另一方面,平台要发挥算法的最大价值,也需要大量的个人信息作为完善算法的基础。同时,公权力机关在搭建良性算法治理格局时承当何种角色,与以往的监管是否存在不同,也难以确定。
因此,越来越多的学者认为,平台向用户的告知以及用户勾选隐私政策的同意行为兼具私法属性和公法属性。一方面,即便认为用户在同意时未充分阅读隐私政策,勾选行为只是走形式,也需要承认同意具有一定的自治属性,并非完全由公法可以决定并赋予性质。《个人信息保护法》第17条规定,告知应以“显著方式、清晰易懂的语言真实、准确、完整地”进行,就是确保用户在一定程度上理解处理规则的前提下作出同意决定。另一方面,同意的实现也需要公法干预。不管是基于双方不平等地位的格式条款所具有的公法属性,还是直接认定同意的效力,将其作为授权处理的合法性基础,都需要对同意进行强行介入。算法中个人信息保护具有大规模处理的特征,并不关注个人信息中具有个人特征的成分,更倾向于流通属性。两方面的维度使得告知同意在公私法上均难以准确定位。
(二)合理使用制度
1.合理使用制度的适用范围
在《个人信息保护法》颁布之前,个人信息合理使用制度主要是基于人格权权益的普遍保护,加上《民法典》规定的实施新闻报道、舆论监督等行为,维护公共利益,维护自然人合法权益,以及处理合法公开的个人信息几个方面作为合理使用个人信息的情形。《个人信息保护法》中的合理使用制度主要规定在第13条,与取得个人同意并列,作为处理者处理个人信息的合法性基础。除对上述四种行为进行规定外,还增加了订立、履行合同所必需与履行法定职责或义务所必需两种情形。新添加的两种情形使处理个人信息的情形范围明显扩大,同时使合理使用的法律定位更为模糊。
2.合理使用边界模糊
在《个人信息保护法》所列合理使用情形中,“订立、履行合同所必需”中的“合同”,依《民法典》第469条的规定,包括书面形式、口头形式或者其他情形。订立、履行合同是较为常见的民事行为,即便加上与个人信息相关这一因素限制,其所涵盖的范围也较为宽广。在《个人信息保护法》实施之前的合理使用主要目的是在个人信息普遍保护的情况下进行限制,特定情形下允许未经授权的个人信息处理行为。所列四种行为有具体的行为限定、目的限定或者对象限定,较为容易确定边界。新增加的两种情形涵盖日常生活和商业经营中的大部分行为,极大地扩张了合理使用的范围,使处理个人信息的情形更广,也更难以确定边界。
合理使用制度的初衷是对普遍需要信息主体同意的情形下,为满足保护社会公共利益、他人合法权益的目的而允许特定个人信息处理行为无须征得用户同意,在合理使用范围内不用承担责任。依该制度设立初衷来看,算法处理个人信息所具有的规模性特征、信息价值挖掘的开放性特征在一定程度上也具有公益性,因此可以作为合理使用的情形。这就削弱了同意在个人信息处理中合法性来源的地位,架空了个人主体的信息自决权。算法处理带来的潜在价值挖掘等公益性使合理使用制度定位趋于模糊。
(三)个人信息侵权制度
个人信息侵权主要规定在《个人信息保护法》第69条,这看起来是一种经常性的侵权模式,但实践中以个人信息侵权为案由的司法案件数量极少。这不得不让笔者反思算法中的个人信息侵权制度作为一种民事侵权责任的可证成性。
1.个人信息权益责任规则的公法与私法性质模糊不清
个人信息侵权制度是对个人信息处理过程中潜在风险的责任分担和救济制度。从私法角度看,民事侵权一般包括人格权侵权和财产侵权两方面的内容。《民法典》区分了私密信息与一般个人信息,并明确前者优先适用隐私权规则。在隐私权和财产权保护模式下,个人信息侵权责任着重于对权利稳定秩序的维护,个人私生活安宁和财产利益都是其中的重要维度。但是,有学者认为,相较于信息主体,平台企业在信息、技术等方面具有明显优势,可对信息主体实施隐性的强制和支配,因而将数据企业的信息处理行为纳入公法调整范围也具有正当性。个体缺乏保护个人信息的能力,公法已然具备更深层次干预个人领域之理由。算法处理个人信息的目的往往在于挖掘个人信息的潜在价值,处理过程与结果可能不为信息主体所知晓,其对个人信息的利用可能对信息主体未产生任何影响,如利用个人信息来调整经营策略。但算法运用也可能产生始料未及的结果或者利益,而信息主体根本无从掌握,也难以在诉讼中获得保护。因此,适用传统民事侵权责任制度来处理算法侵权也必然存在障碍。
2.个人信息权益作为侵权对象缺乏应有的确定性
不管是将《个人信息保护法》中规定的知情权、决定权以及删除权、拒绝权等一系列权利作为集合权益还是独立权利,侵害相应权利的后果均难以归入传统隐私权或者财产权的范围。个人信息尚未发展成为法定权利,只能称为“权益”,其内容在侵权法的角度来看,具有明显的不确定性。比如,对于“知情—同意”侵权行为,侵犯的权益是什么内容?能否进行经济利益的计算?《个人信息保护法》第69条第2款规定的“利益”如何认定?即使对于信息主体本身来说,也难以进行确切描述。个人信息权益可以看作对平台施加的义务,以确保用户个人可以在与平台交互的过程中对自己的个人信息享有控制权,即个人信息自决权。而平台未履行相应保护义务导致自决权无法实现,影响用户对平台服务的体验,对于平台保有用户也可能有负面影响。为保证平台平稳运行,并在合理运行架构中挖掘个人信息的潜在价值,个人信息规则应当体现出权利保护与利用之间的平衡。如果将个人信息侵权责任以传统权利保护的逻辑展开,需要有具体的、独立的权利作为保护对象。而个人信息自决权是为了维护算法平台和用户之间的良性互动而设立的,虽然具有一定的权利属性,但也具有较强的管理法色彩,这也是《个人信息保护法》被划入经济法部门的原因之一。当追究算法中个人信息保护的侵权责任时,很难将算法侵害行为的对象进行可诉性的描述,也很难在算法行为与个人信息自决权受损之间建立侵权责任意义上的因果关系。
3.算法中个人信息侵权责任难以促发“维权”动力
由于单个个人信息所具有的经济价值有限,难以确定损害赔偿数额,依照现有法律规定,个人信息主体可以请求侵权人或者负有个人信息保护义务的经营者承担停止侵害、赔礼道歉等侵权责任。这必然导致用户缺乏经济上的动力来启动侵权诉讼以维护自己的权益。即便赋予用户请求算法平台完善相关代码的权利,其也难以确认权利是否实现及实现程度,需要依《个人信息保护法》第65条的规定投诉或举报,借助相关部门的力量进行处理。此时的个人信息自决权实现方式就不是依靠侵权损害赔偿,而是行政措施。虽然有个人信息侵权制度规定,但是具体保护措施需要行政机构加入才能得以落实,单凭民事侵权责任难以实现有效救济。
(四)公益诉讼制度的规则体系不清晰
虽然《个人信息保护法》规定了公益诉讼作为个人信息保护的救济方式,而且实践中已经出现了较大数量的公益诉讼案件,但是个人信息保护公益诉讼的理论基础及实践路径仍存在着重大争议,尤其在规则体系上存有分歧。
1.个人信息保护公益诉讼与消费者权益保护公益诉讼的界限不清
《个人信息保护法》第70条规定了个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院等有关组织可以依法向人民法院提起公益诉讼。然而,《消费者权益保护法》第14条规定了消费者享有个人信息依法得到保护的权利,同时,该法第47条也赋予消费者保护协会提起公益诉讼的权限。那么,在涉及算法处理的个人信息侵权时,如何选择适用法律将可能产生争议。个人信息保护公益诉讼与消费者权益保护公益诉讼存在明显的区分:前者的起诉主体包括人民检察院、法律规定的消费者组织和由国家网信部门确定的组织,而后者的起诉主体只有中国消费者协会以及在省、自治区、直辖市设立的消费者协会。更重要的是,二者保护的实体权利客体也可能存在巨大差异:前者可能保护的是《个人信息保护法》中的个人信息自决权,后者要保护的则是作为消费者利益的个人信息权益,这两种权利在现实中并不易区分。“消费者化”的个人信息保护公益诉讼制度与消费者权益保护公益诉讼制度之间将在一定程度上产生重合与冲突,并将引起进一步的法律解释及适用问题。
2.民事公益诉讼、行政公益诉讼与刑事诉讼的适用条件界限不清
侵害众多个人的个人信息权益是引起民事公益诉讼的前提条件,同时这种现象也会引起行政机关对于该侵权行为的监管,如果行政机关不作为或者错误作为,则可能引起检察机关对该行政机关的公益诉讼。因此,个人信息保护公益诉讼制度同时具有民事及行政公益诉讼适用的空间。更值得指出的是,侵害众多个人的个人信息权益甚至可能引发刑事追责的程序。因为按照《个人信息刑事案件解释》相关规定,非法获取、出售或者提供公民个人信息构成犯罪的“情节严重”判断标准,是以非法获取、出售或者提供的个人信息数量为主要标准。因此,算法处理个人信息规模较大,且在个人信息权利实现的过程中往往也需要行政机关参与,那么,民事公益诉讼、行政公益诉讼与刑事诉讼的适用条件界限不清就成为难以解决的问题。
综上所述,个人信息告知同意与合理使用制度并未为个人信息保护建立起既促进个人信息合法利用、又保障个人信息权益的规则体系;个人信息侵权责任制度与公益诉讼制度也没有为个人信息的权利救济提供切实可行的诉讼路径。当然,不能否认这些制度为个人信息保护发挥了重要的积极作用,只是从法律规则体系的角度而言,平台算法背景下的个人信息处理制度,无论各自还是其相互之间,并未形成类似于《消费者权益保护法》那样系统、合理的规则体系。
四、个人信息保护规则体系问题的原因分析
现有个人信息保护规则体系包括了刑法、民法、经济法甚至信义法的规则,但仍未形成逻辑严密、相互协调的个人信息保护规则体系。个人信息保护不仅涉及民事权利,也涉及人格尊严、隐私权等宪法权利。现有公法与私法法律规范已经对个人信息有较为广泛的规制,散见于前述各部门规范之中。算法的发展使得个人信息具有更大的价值,但是其保护需求并未得到法律规则的体系化回应。从立法目的看,民法上隐私权保护、刑法上个人信息犯罪制裁、消费者法中对于经营者施加额外义务以及其他传统模式下的个人信息保护,这些保护方式都是直接针对侵权、犯罪以及弥补不平等地位,已经在逻辑上默认了个人信息在社会中有正常流通状态,因而异常行为可以准确界定出来。即便《电子商务法》中的经营者有使用算法进行商业行为的可能,立法主要关注的也是“规范电子商务行为”。作为个人信息保护领域的总括性立法,应当区分传统法律保护模式和个人信息自决权保护模式的差别。《个人信息保护法》却同时规定了“规范个人信息处理活动”和“促进个人信息合理利用”两个价值维度。将算法处理个人信息的规范适用于传统侵权模式会带来不相适应的问题,也会带来与民法、刑法、消费者保护法律的关系边界问题。从根本上,还是要从个人信息作为法律客体的模糊性与其场景化的不安定状态来进行分析,并考虑信息技术迅速发展带来的影响。
(一)个人信息作为法律客体的模糊性
个人信息作为法律客体具有特殊性,很难归于现有法律客体中任何一种。民法中的客体涵盖较广,以其分类为例加以讨论。民法上权利客体包括物、精神创造和物权、债权等财产权三种类型。首先,个人信息不是物。法律意义上的物需要具有特定性,有具体的确定实体。而信息来源于对特定符号所赋予的意义,并在社会层面形成共识。即便有代码记载的信息可以限定在特定磁盘或者储存单位之中,信息的范围也因其与其他信息的联系难以确定。同时,依民法上物权法定原则,信息也很难归于所有权、用益物权和担保物权三种法定类型范围之内。其次,个人信息也难以被认定为精神创造。比如,著作权或者知识产权。虽然二者都具有无体性,且都保护流通。但是,精神创造强调创新性,而个人信息强调“识别性”,是用来消除不确定性的东西。最后,个人信息上的利益也不清晰。尤其是单独就个人信息而言,它已经在客观上成为人的自然属性与社会属性的共同存在方式。故有学者认为,个人信息既是一种公法权利,也是一种私法权利。人与人之间的复杂社会关系决定了这种存在并非信息来源者的随意控制对象,因此传统的物权或者债权概念均无法准确描述个人信息的法律状态。但是,个人信息与个人人格、经济利益存在难以隔断的潜在联系,因而使用法律工具来调整个人信息处理行为,必然面临着前所未有的困难。《个人信息保护法》中提到的个人信息难以在法律客体上进行准确定位,但是与公民很多利益都有关联,其带来适用困境就不足为奇了。
(二)个人信息的场景性特征
在个人信息保护中,算法规制和个人信息保护总是交织在一起,原因在于在传统学科视角下,需要将算法和个人信息界定在具体的情景中才能纳入其保护体系。在个人信息保护和算法治理中都有场景化的需求。但是,二者的场景化保护要求都是在有对方参与的情况下形成的,即算法的场景化是以算法与其结合的个人信息共同形成的结果作为依据。同理,个人信息保护也是将个人信息与特定处理算法相结合才产生具体情形。个人信息保护脱胎于民法隐私权保护所形成的羁绊,与民法、刑法等传统学科有千丝万缕的联系。
同时,算法加工过的个人信息已经在一定程度上挖掘出了个人信息潜在的经济或者公共价值,这使个人信息保护规则体系更加难以界定其边界。算法中的个人信息保护一个重要维度是将算法治理与个人信息保护联系起来,治理的关键在于个人信息权益的保护,传统个人信息保护的情形由民法、刑法等部门法所涵盖,享有在先保护的顺位。另一个重要维度是个人信息保护要与算法的技术构建相结合,将个人信息作为算法中的流通要素,构建算法基础设施。“基础模型—专业模型—服务应用”的区分保护呈现了与作为基础设施的基础模型算法和结合数据后的专业模型乃至服务应用的区别。个人信息保护应当在具体场景的信息关系中确定个人信息权利的边界。场景性意味着个人信息的保护必要性和保护程度具有很大的不确定性,法律规定也难有确定的标准。有学者提出,个人信息概念之所以不确定,是因为个人信息高度依赖场景,因个人信息识别目标、识别主体、识别概率、识别风险的不同而不同。在技术与产品飞速发展的今天,更难找到确定不变的个人信息界定规则。即便对个人信息保护规则细化后的国家标准亦大部分是推荐性标准而非强制性标准,个人信息保护义务主体存在较大自由行动空间。个人信息保护需要结合平台算法部署、应用的具体情形,对此平台需要在经营过程中构建自身良性运行架构,将个人信息保护纳入考虑因素。保护的具体限度需要平台根据经营状况,并结合用户反馈加以调整。因此,个人信息的场景性特征需要平台更加细致的保护规则及其有效运行。
(三)信息技术迅速发展带来的保护困境
个人信息保护与个人信息价值挖掘技术密切相关。传统侵权保护模式下,主要关注数字化存储的个人信息泄露带来的风险。计算机的价值在于永久存储以及方便传输,此时信息安全就更为重要。我国立法也是优先关注网络环境安全。随着算法技术发展,个人偏好随着对个人价值的强调以及消费主义发展变得更为重要,个人情绪满足在消费中占据重要位置,这带来个人消费记录等个人信息的商业价值不断增加。同时,也带来个人信息保护传统模式与算法中保护的体系性混乱。
算法处理个人信息会导致信息知情权的行使困难,也进一步加剧平台与个人在信息处理上的信息不对称。人工智能的发展则让这种趋势更加明显。比如,数据训练与数据生成都有可能将个人信息处理行为掩在其中。法律既要扮演预防者的角色,更要发挥救济性的功能。将个人信息交由算法平台可能带来泄露风险,而泄露的个人信息可能被用来侵害个人生活安宁或者带来财产损失,这些风险任务交给同一部法律来完成,不可避免地导致《个人信息保护法》承担多个层面的规制任务。同时,算法自动化决策也带来人类主体性的担忧,有学者由此强调需要保障人的自主决策与主体性地位。对财产损失的担忧则发展出数据信托制度研究,探究数据主体获取自身数据利益的方式。有学者提出,以信托法的进路与框架保护个人信息,既可以继承合同法的某些优点,又可以避免合同法的某些问题,从而重新激发个人信息私法保护的活力。技术迅速迭代带来的不确定性需要更为专业的数据机构介入,以平衡用户和平台利益。这些可能的发展思路无疑会让问题变得更加难以捉摸。
五、现有个人信息保护规则体系缺陷之弥补
如果说现有个人信息保护规则体系的缺陷在于个人信息作为法律关系客体的“不合格性”,那么这种缺陷就是一种客观存在,无法通过人类的主观设计进行改变。但是,以法律的方式来调整个人信息保护的社会关系,已经成为现实的选择。因此,对于如何弥补个人信息保护规则体系的缺陷,笔者认为,可以从法治的弱化形式——自治的角度寻找可能的办法。
(一)确认算法中个人信息保护特有规则形式——平台规则的准法律性
平台个人信息保护协议也被称为“隐私协议”,一般视其为平台与用户之间的合同。个人信息政策是平台治理体系的关键部分。有学者提出,个人信息政策可能充当信息处理者的合规章程、市场声誉信息机制的媒介、司法诉讼与行政执法的依据、赢取个体信任与进行隐私教育的工具。就法律意义而言,一方面,个人信息政策是用户与平台建立的合意,即便用户一般不会完全阅读平台个人信息政策,也不能否认其作为证明用户授予平台处理个人信息权限的合法性基础;另一方面,个人信息政策虽然以“合意”的形式出现,仍需要符合有关法律对于个人信息保护的强制性规定。
从算法处理个人信息的技术现实而言,我们应当将个人信息协议提升到准法律性质的自治规则来看待。其理由有:一是这种平台规则往往面向的是不特定的、范围广大的用户,具备了法律规则适用对象上普遍性的特点;二是这种平台规则在内容上是关于平台与用户之间的利益关系,用来规范平台与用户双方当事人的行为,符合法律的规范性特征;三是其以合同的形式存在并得到用户的签字认可,在很大程度上获得了用户的知情同意,因而本身具有一定的合法性,在一定程度上符合法律规则的强制性特征。更为关键的是,平台规则可以针对平台经营的实际情况与用户信息处理的实际情况,制定更加符合平台需要且能为实际用户接受的具体个人信息保护细则,从而实现《个人信息保护法》等法律规范难以企及的规则效应:既可以让平台的守法更具有主动性,也可以使与算法相关的程序性个人信息保护权利通过完善代码以及平台服务的方式得以落实。在这个过程中,可以不必纠结算法、代码等技术概念在人文社科领域的具体含义,或者社会层面的公民如何对其进行理解,而是关注算法平台如何落实法律所列各项权利规定,从而抛却算法治理的种种疑惑。对算法或人工智能的主体性担忧,可以通过平台自我审计或者进行个人信息保护影响评估的方式降低或者消除。对算法的主体性担忧更多是人类主体参与感的缺失,以及信息技术发展带来的不确定性引发的恐惧。其实,主体参与感更多是平台自己良性商业运转模式需要考虑的因素,可以交由平台解决。
在算法处理场景中落实《个人信息保护法》以及其他个人信息保护规范中的具体义务,平台的个人信息政策无疑能够发挥重要作用,具有准法律规范性。个人信息具有的场景性特征、技术发展带来的个人信息权益开放性使个人信息保护相关法律规定难以落实。但是,在法律允许的范围之内,平台可以自己设置运行规则来落实个人信息保护的规定。平台规则当然有约束平台行为的作用,至少具备合同的约束力。平台基于多方因素考虑,在具体算法场景中细化个人信息保护的规则,具有更大的匹配性和适用度。平台规则中的自我限制条款可以视为平台对于政府和用户的承诺,保证平台处理个人信息符合法律规定,在法律框架内进行生产经营。对用户而言,当发生纠纷时平台规则可以发挥“准法律”的作用。这样就有效避免了前述个人信息作为法律客体时定位困难的问题,将场景性带来的不确定和技术发展带来的开放性交由平台来掌握,并在政府和用户的监督下不断完善具体规则。使用算法处理个人信息具有公共性,算法平台应承担公共性职能和责任。实际上,平台规则一直在代行准法律规则的职能,确定特定场景下个人信息利益保护的细化标准,平衡个人信息保护和利用。
(二)平台规则的国家监管与权利救济
将平台个人信息规则视为准法律规则,实际上是对平台自治状态的一种规则上的认可。平台本身在实质上仍属于商业机构,其不可能像国家立法机构那样从国家、公共利益的角度考量所有问题。因此,在将平台规则视为准法律规则的同时,还必须对平台规则进行必要的监管,也要对其中不合法的规则内容提供诉讼救济途径。
1.平台规则的代码实现与监管
在传统保护模式下,已有法律规范鼓励电商平台建立争议在线解决机制。在《个人信息保护法》框架下,算法场景中的个人信息保护有了更加丰富的规则内容。在合法的前提下,平台可以建立自身的个人信息处理规则,并搭建自身商业生态。个人信息权益存在很大的不确定空间,比如,知情权中的知情范围的详细程度、语言表达的清晰程度等;而且这些权利带有较大的个体差异性,用户是否有要求、要求多少也难有具体标准。因此,当平台以代码的形式来实施个人信息保护规则时,用户往往缺乏相应的监督能力,需要政府通过法律规范的方式来监管平台规则的运行。相较于传统侵权保护模式,此时政府的监管环节更为靠前,在未发生危害后果的日常运行阶段便需要对个人信息权益进行保护。可以说是政府和平台共同构建了个人信息保护规则体系,以代码实现算法中的个人信息保护的权利要求。而且,代码具有程序上的确定性,即输入和输出之间的联系可以确定的逻辑呈现,这可以使政府监管更加清晰,相关政府职责部门可以在技术部门的配合下有效实施监管,从而保证平台个人信息保护规则合法运行。
2.对不合法平台个人信息规则的诉讼救济
平台在商业利益的驱使下,可能制定出不完全符合《个人信息保护法》的平台个人信息处理规则。平台规则具有的准法律性特征,一方面可以促使规则有效运行,另一方面也提出了对这些准法律规则进行合法性审查的必要性,不合法或不合理的平台规则可能造成用户个人信息受到算法侵害。当用户认为自己的个人信息权益没有得到有效保护或者受到侵害时,既可以依据《个人信息保护法》等法律法规进行维权,也可以要求平台按照平台规则承担侵权或者违约责任。在此情况下,用户可以结合权益侵害案件向人民法院提起审查平台规则的请求,类似于行政诉讼中当事人对政府规范性文件的审查请求。人民法院则应当根据《个人信息保护法》等法律规定来审查平台的个人信息处理规则,通过判决保证平台的个人信息规则处于合法状态。由于平台规则具有开放性和公共性,公益诉讼在必要的时候也可以启动,对于非法规则侵害不特定多数用户利益的行为进行纠正,或者避免大面积侵权行为的发生。
将平台规则定位为准法律规则,并以诉讼的方式来进行修正和完善,也符合平台治理的效率性要求。也许在诉讼审查中同样出现对法律规则的争议,那毕竟是在平台与用户已经就规则细节达成一致的基础之上的问题,从而避免了对个人信息基本认识上的诸多分歧。比如,对于认定是否“为订立、履行个人作为一方当事人的合同所必需”而处理个人信息,如果在双方确认的平台规则中已经明确了“合同”的范围,则可能省去该事实认定上的一些争议。可能会有人提出,通过完善《个人信息保护法》来解决该类问题。显然,法律修改具有法定的程序,周期较长,难度也可想而知,其必要性也值得商榷。而平台规则修改程序由平台自己决定,具有更大的灵活性,可以便捷地实现个人信息保护规则的落地,这也与日本等国家倡导的个人信息保护敏捷治理在逻辑上具有近似性。
六、结语
算法中个人信息保护无法完全按照既有的民事权益保护、刑事责任惩罚、经济法对平台规制、消费者法倾斜保护和信义规则来充分实现;知情同意制度、合理使用制度、个人信息侵权保护制度和个人信息公益诉讼制度的定位模糊来源于算法中个人信息保护的定位不清。修改立法是一种成本较高的活动,笔者认为,在尊重《个人信息保护法》立法地位的前提下,完善算法中个人信息保护需要搭建以平台自治为主体、政府审查为辅助的独特个人信息平台规则体系,可以有效平衡算法处理个人信息中利用和保护两个维度。信息技术的发展仍在突飞猛进,或许未来需要全新的个人信息保护规则体系,但在当下,政府和平台共同构建个人信息保护法治框架,充分发挥平台规则的自治作用,应为理性且务实之举。
(为方便阅读,省却注释,全文参见《数字法治》2024年第1期)